Konsep Firewall Basic Materi MTCNA

Senin, 08 Juni 2026 masdanang

 


1. Tiga Aliran Data Utama (Chains)

Sebelum membuat aturan (rules), Anda harus tahu paket data itu mau ke mana. MikroTik membaginya menjadi 3 jalan utama (chain):

  • input: Paket data yang menuju langsung ke router itu sendiri (contoh: Anda sedang login Winbox, nge-ping IP router, atau akses webfig).

  • forward: Paket data yang hanya lewat melalui router dari satu jaringan ke jaringan lain (contoh: Komputer LAN sedang browsing ke internet).

  • output: Paket data yang berasal dari dalam router itu sendiri dan keluar (contoh: Router melakukan ping ke Google atau cek update).

     

2. Prinsip Kerja: Atas ke Bawah (Top-to-Bottom)

  • Firewall membaca rules secara berurutan dari nomor 0, 1, 2, dst.

  • Jika ada paket data yang cocok (match) dengan Rule nomor 0, maka tindakan (action) langsung dieksekusi, dan rule di bawahnya (nomor 1, 2...) akan diabaikan.

  • Tips: Taruh rule yang paling sering digunakan atau rule yang spesifik di urutan paling atas untuk menghemat CPU router.

     

3. Kondisi (Kriteria) & Tindakan (Action)

Saat membuat rule, Anda menentukan Kriteria baru kemudian menentukan Tindakan.

Kriteria Populer (General / Advanced)

  • Src. Address: IP asal paket data.

  • Dst. Address: IP tujuan paket data.

  • Protocol: Jenis protokol (misal: tcp, udp, icmp).

  • Dst. Port: Port tujuan (misal: web=80,443, Winbox=8291).

  • In. Interface: Paket masuk dari colokan/port mana (misal: ether1-wan).

     

Tindakan Utama (Action)

  • accept: Paket diizinkan lewat.

  • drop: Paket dibuang/ditolak diam-diam (sangat disarankan untuk keamanan).

  • reject: Paket ditolak dan router mengirim pesan penolakan balik (bikin CPU kerja lebih keras).

     

4. Strategi Terbaik: Defensive Firewall

Cara terbaik mengamankan router adalah "Izinkan yang aman/dikenal, lalu Blokir sisanya".

Contoh urutan rule yang benar di Winbox:

  1. chain=input -> action=accept (Izinkan IP PC Admin Anda)

  2. chain=input -> connection-state=established,related -> action=accept (Izinkan koneksi yang sudah aman)

  3. chain=input -> action=drop (Blokir SEMUA sisanya yang mau masuk ke router)

⚠️ Peringatan MTCNA: Jangan pernah menaruh rule action=drop untuk chain=input di urutan paling atas tanpa pengecualian, atau Anda akan terkunci keluar (ter-lockout) dari router sendiri!